침해사고/위협동향

기술지원 종료되는 ‘어도비 플래시’··· 이제는 놓아줘야 할 때

이종현
[디지털데일리 이종현기자] 글로벌 정보기술(IT) 기업 어도비의 ‘어도비 플래시’가 오는 31일을 끝으로 기술지원 종료된다. 내년부터는 보안 취약점 및 오류에 대한 업데이트가 이뤄지지 않는 만큼 ‘탈 어도비’가 시급한 상황이다.

애니메이션, 게임, 음악 등 콘텐츠를 제작·재생 가능하도록 하는 어도비 플래시는 일반 대중에게도 친숙한 소프트웨어(SW)다. ‘졸라맨’, ‘마시마로’ 등이 어도비 플래시로 만들어진 애니메이션이다.

최근에는 ‘움짤’로 익숙한 그래픽 인터체인지 포맷(GIF)를 대체하기 위해 개발된 플래시는 적은 용량으로도 효과적인 애니메이션을 표현할 수 있다는 장점이다. 몇초 남짓의 GIF가 수십 메가바이트(MB) 남짓인데, 전화망을 사용하던 인터넷 보급 초창기에는 부담스러운 용량이었다.

상황이 이렇다 보니 국내뿐만 아니라 글로벌 웹사이트 대부분이 플래시를 활용했다. 유튜브나 네이버 지도 같은 서비스도 플래시 기반으로 제공됐다. 네이버의 증권정보 서비스에 차트는 아직도 플래시 기반이다.

이처럼 승승장구하던 플래시였으나 호환성과 보완성 등의 문제로 내리막길을 걷게 됐다.

호환성에서 문제가 발생한 것은 애플의 아이폰이다. 모바일 시장의 대격변을 일으킨 아이폰의 운영체제(OS)인 iOS에 플래시가 구동되지 않았고 애플의 PC OS인 ‘맥OS’에서도 최적화가 덜 되는 등의 문제가 다수 발생한 것.

애플 창업자인 스티브 잡스는 2010년 ‘플래시에 대한 생각(Thoughts on Flash)’이라는 제목의 글로 플래시에 대한 자선의 견해를 밝혔다. 이 글에서 스티브 잡스는 PC 환경에서 개발된 플래시가 모바일 환경에서는 적합하지 않다는 것과 보안 문제 등을 꼬집었다.

모바일 시장을 석권한 아이폰에서 플래시를 사용할 수 없다는 것은 쿤 문제이긴 했으나 당장 플래시의 존폐를 결정할 수준의 문제는 아니었다. 하지만 이와 함께 터져 나온 보안 취약점이 플래시의 명운을 결정했다.

초창기부터 보안 문제로 지적을 받아왔던 플래시는 해커들의 공격 루트로 꾸준히 활용돼 왔다. 국내 유명 웹사이트를 통해 랜섬웨어가 배포된 사건도 플래시의 취약점을 이용한 공격이었다.

‘HTML5’가 새로운 웹 표준으로 자리매김하면서 플래시가 없더라도 서비스 개발이나 이용에 큰 제약이 없는 상황에 이르면서 플래시는 퇴출 수순을 밟게 됐다. 어도비는 2017년에 플래시의 기술지원 종료를 발표했고, 이제는 그 시기가 열흘 남짓 남게 된 것.
KISA 자료
KISA 자료

기술지원 종료가 2017년에 발표된 만큼 정부를 비롯해 기업·기관들은 ‘플래시 걷어내기’에 열중해왔다. 정부에서는 ‘노 플러그인’ 정책의 일환으로 꾸준히 플래시 의존도를 낮춰왔다. 네이버와 카카오 등 기업들도 자사 서비스에서 플래시를 제거하고 있는 상태다.

우려되는 점은 국내 웹 곳곳에서는 플래시가 잔재해 있다는 점이다. 2019년 한국인터넷진흥원(KISA) 조사에 따르면 민간 500대 웹사이트 중 플러그인을 이용 중인 것은 139개다. 지속해서 줄고 있으나 여전히 다수 웹사이트에서 플래시 사용이 확인되고 있다.

공공은 민간보다도 우려된다. 공공기관 서비스 중 일부는 여전히 인터넷 익스플로러(IE) 환경에서만 구동되는 등 변화에 대한 수용이 늦다. 행정안전부 관계자는 “연말까지 플러그인을 모두 제거할 것”이라고 밝혔지만 열흘 남짓 남은 현재도 플래시를 사용하는 공공기관 서비스가 있다.

이에 과학기술정보통신부와 KISA는 지난 2일부터 플래시의 취약점을 악용한 보안 위협에 대응하기 위한 비상 대응 체계를 가동했다. 보안기업, 이동통신사 등과 협력해 피해 확산을 방지한다는 계획이다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널